Vous souvenez-vous de l'incroyable cambriolage qui a frappé le Musée du Louvre à Paris en octobre 2025 ? Des voleurs ont utilisé un camion-grue pour briser une fenêtre et voler les joyaux de la couronne française. Cela symbolise parfaitement ce qui s'est passé dans le monde de la cybersécurité cette année : les acteurs malveillants utilisent tous les outils à leur disposition pour s'emparer des joyaux digitaux de votre entreprise.
Les outils d'aujourd'hui sont à la fois très complexes et terriblement faciles d'accès, grâce au ransomware en tant que service (RaaS). Le problème, c'est que la « salle au trésor » de votre entreprise est immense et étendue à travers le monde entier, contrairement à un musée. Vous avez donc beaucoup de fenêtres à surveiller.
Chez Akamai, notre objectif est d'aider les entreprises à résoudre ces défis en matière de sécurité. Nos rapports État des lieux d'Internet (SOTI) fournissent les informations dont vous avez besoin pour lutter contre les menaces qui bouleversent le domaine de la cybersécurité.
Et il est vrai, l'IA prend de plus en plus d'ampleur dans la sécurité. Toutefois, nous savons que rien ne vaut une véritable expertise humaine pour détecter et déjouer les attaques sophistiquées.
Réflexions et attentes
Pour ce rapport Une année passée au crible, certains des plus grands experts en cybersécurité d'Akamai se sont réunis afin d'étudier les principales tendances en matière de sécurité de l'année écoulée et d'explorer ce qui pourrait se passer en 2026.
Dans cet article de blog, Roger Barranco, Richard Meeus, Reuben Koh, Steve Winterfeld et Tricia Howard offrent des idées pratiques et exploitables pour vous aider à combler les failles de sécurité et à renforcer vos défenses.
Qu'est-ce qui a marqué selon vous l'année 2025 ?
Nous avons constaté une augmentation spectaculaire du nombre d'attaques par déni de service distribué (DDoS) de très grande envergure. Les attaques de plusieurs térabits sont de plus en plus fréquentes. Jusqu'à présent, ces attaques étaient faciles à atténuer. Cependant, nous constatons également une augmentation des attaques plus complexes, notamment celles provenant d'États-nations. Cela montre l'importance de mettre en place une plateforme évolutive dotée de puissantes fonctionnalités natives, et de faire appel à des personnes hautement qualifiées disponibles pour traiter rapidement les attaques sophistiquées de type Zero Day.
Nous avons également remarqué que certaines entreprises sont ciblées par des attaques de bots très minutieuses. Nous atténuons l'attaque, mais les pirates continuent de s'en prendre à la cible, en ajoutant souvent des activités d'extraction. Ces activités peuvent être malveillantes ou non. Parfois, il s'agit d'agrégateurs cherchant à recueillir des informations sur les produits.
Souvent, ce type d'activité coïncide avec des événements spécifiques, tels que le lancement d'un produit ou un événement promotionnel. Si nécessaire, nous pouvons mobiliser un architecte de sécurité sur le pont client pendant ces événements afin de traiter les anomalies en temps réel.
Autre tendance de l'année 2025 : l'utilisation accrue de l'IA par les attaquants. L'IA a offert de nouvelles portes d'entrée pour les attaquants. Les acteurs malveillants n'ont plus besoin de compétences en codage : ils peuvent utiliser l'IA pour concevoir et lancer une attaque juste en lui donnant des instructions. Heureusement, l'IA aide également les équipes de sécurité à identifier rapidement les anomalies comportementales subtiles qui peuvent être le signe d'une attaque.
Dans le rapport Une année passée au crible de l'année dernière, j'ai évoqué la résurgence du botnet Mirai, qui a de nouveau fait son grand retour. Cette année, des variantes Mirai particulièrement puissantes que nous surveillons de près ont fait leur apparition.
Quels problèmes notables prévoyez-vous en 2026 ?
Sous la pression de l'adoption rapide de l'IA, les RSSI peuvent sous-estimer les risques des initiatives d'IA et ainsi nuire à la hiérarchisation des menaces. Cela souligne davantage le besoin de technologies sur mesure pour protéger efficacement les composants d'IA, en particulier les grands modèles de langage (LLM).
L'adoption rapide de l'IA crée également un nouveau front dans la sécurité des API. Un LLM passe généralement par une API à un certain stade, d'où l'importance de sécuriser ces API. Aujourd'hui, les RSSI reconnaissent que la sécurité des API peut aider à identifier le trafic critique, par exemple pour déterminer si la tentative d'accès provient d'un LLM ou d'un être humain.
Cela génère une alerte, ce qui permet aux équipes de sécurité de décider si le trafic doit être autorisé ou bloqué. Par conséquent, la surveillance des API peut être la clé pour découvrir où se trouvent les LLM ou la manière dont l'IA est utilisée afin d'infiltrer dans l'entreprise.
De plus en plus d'organisations se concentrent davantage sur la gouvernance de l'IA et établissent des règles qui autorisent ou non les employés à créer leurs propres IA pour les aider dans leurs tâches. Cela entraîne la mise en place de comités de contrôle de l'IA chargés de définir ce qui est permis et de superviser ces pratiques, afin d'éviter l'absence totale de régulation observée par le passé ; un point essentiel pour la sécurité.
Dans le rapport Une année passée au crible de 2024, j'ai souligné la nécessité de se concentrer sur l'informatique quantique, qui demeure un sujet de préoccupation pour l'avenir. Les entreprises se voient déjà confrontées au défi des certificats adaptés au post-quantique, conçus pour renforcer le chiffrement. La difficulté est de passer à ces nouveaux certificats digitaux alors que certains utilisateurs finaux utilisent des navigateurs incapables de les prendre en charge.
En 2026, je présage que les entreprises mettront à niveau leur infrastructure et encourageront leurs clients à utiliser des navigateurs qui prennent en charge les certificats adaptés au post-quantique.
Qu'est-ce qui a marqué selon vous l'année 2025 ?
Je pense que le meilleur mot pour décrire l'année dernière est la résilience, et en particulier le manque de résilience. Le Royaume-Uni a été le théâtre d'attaques de grande ampleur très médiatisées contre des entreprises de commerce de détail, ainsi qu'à des attaques continues ciblant certains grands fabricants. Un grand nombre d'entre elles s'attaquaient au service client dans le but d'accéder aux informations des utilisateurs et de réinitialiser les mots de passe. Ce vecteur, bien que secondaire, semble ne pas avoir été suffisamment privilégié par les tests des équipes rouges.
L'année dernière, j'ai parlé de la directive NIS2, axée sur la résilience opérationnelle. Elle devait être intégrée dans la législation de chaque État membre de l'Union européenne (UE) avant octobre 2024, mais ce n'est toujours pas le cas pour plusieurs d'entre eux.
En parallèle, la loi sur la résilience opérationnelle numérique (DORA) instaure un cadre de résilience amélioré pour les organisations financières. Il s'agit d'un règlement et non d'une directive, elle s'applique donc à l'ensemble de l'Union européenne depuis le 17 janvier 2025. Cependant, la NIS2 semble poser plus de difficultés à certains pays.
En 2025, des mises à jour défectueuses ont également engendré des pannes majeures. Celles-ci ont causé d'importantes perturbations pour les entreprises et les internautes dans de nombreux secteurs. Ce problème soulève des questions cruciales :
Pouvez-vous partir du principe que chaque mise à jour de votre fournisseur est fiable ?
Devez-vous faire le tri et, si oui, avez-vous mis en place des processus pour le faire ?
Réalisez-vous des tests et un déploiement par étapes, ou « Canary » ?
Les entreprises doivent se préparer et réfléchir à la manière dont elles atténueront ce risque.
Quels problèmes notables prévoyez-vous en 2026 ?
J'ai déjà mentionné comme vecteur d'attaque ; et cette dynamique devrait s'accentuer en 2026, avec l'augmentation du recours aux chatbots d'IA pour assister les agents humains. Ces chatbots vont au-delà des réponses hiérarchiques basées sur des arborescences : ils sont plus intelligents et fournissent davantage d'informations rapidement aux clients.
Toutefois, tout comme les agents de service humains peuvent être victimes d'ingénierie sociale, les chatbots le peuvent aussi. Saisir l'évolution des attaques, qui passent des équipes de service client aux points de terminaison, constituera un défi crucial pour les entreprises.
L'IA va redéfinir notre usage d'Internet : une évolution à surveiller de près. Dans le fond, la manière dont les utilisateurs effectuent des recherches n'a pas changé depuis l'époque d'AltaVista. Mais cela va changer. Désormais, les internautes font appel aux agents d'IA pour effectuer des recherches/réservations/commandes.
Cela soulève une question intéressante : le serveur Web ou la passerelle traitera-t-il/elle cette situation comme une demande humaine ou une demande de bot (initiée par un humain) ? Je pense que les entreprises devront évaluer l'impact de cette interaction et déterminer comment la gérer du point de vue de la sécurité. D'une manière ou d'une autre, les bots finiront par être considérés comme un avantage pour les entreprises, et non plus comme un problème.
La capacité de vérifier et de valider les bots jouera donc un rôle essentiel. Cela amènera les organisations à former des partenariats avec les principaux fournisseurs d'IA pour vérifier cryptographiquement leurs requêtes, afin qu'elles ne soient pas assimilées à des extracteurs malveillants.
Enfin, je pense que les attaques DDoS exploitant les vulnérabilités de l'Internet des objets (IoT) vont augmenter. La loi sur la cyberrésilience (CRA) adoptée par l'UE en 2024 vise à résoudre les problèmes de sécurité inhérents, souvent observés sur les terminaux IoT, qui facilitent les abus.
La CRA propose une approche harmonisée de la sécurité des terminaux IoT, afin de simplifier la conformité et d'éviter les doublons réglementaires. La mise en œuvre progressive des mesures influencera la sécurité IoT ; reste à voir comment les entreprises s'adapteront.
Qu'est-ce qui a marqué selon vous l'année 2025 ?
En 2025, nous avons vu l'IA passer de l'expérimentation à la mise en œuvre pratique dans les capacités de cyberoffensive. L'IA propulse les attaques en les rendant plus difficiles à détecter, plus préjudiciables et plus efficaces, ce qui pose des défis aux équipes de défense et de sécurité conventionnelles.
Les pirates utilisent activement l'IA générative pour développer rapidement tout type d'attaque, des logiciels malveillants aux agents d'IA malveillants, sans compétences techniques approfondies. Les équipes de protection ne peuvent pas se permettre de rester inactives. Leurs défenses deviendront vite obsolètes si elles ne s'adaptent pas à cette course aux armements de l'IA.
Cela renforce le besoin d'une meilleure connaissance de l'IA. Les équipes de sécurité doivent maîtriser parfaitement la technologie pour pouvoir exploiter tout son potentiel. Par exemple, certaines entreprises créent leurs propres chatbots d'IA pour capturer leurs connaissances accumulées en matière de sécurité dans un ensemble de données d'entraînement, afin de fournir une assistance rapide au personnel moins expérimenté.
Face à l'essor de l'IA, les équipes doivent réfléchir aux autres mesures qu'elles peuvent prendre au-delà des capacités actuelles. Il est également important de s'assurer que les fournisseurs et les partenaires de la chaîne d'approvisionnement ne négligent pas la sécurité de l'IA. Les entreprises doivent leur demander : « Si j'utilise votre outil basé sur l'IA, comment protégez-vous votre LLM, votre ensemble de données et autres éléments d'IA ? »
Quels problèmes notables prévoyez-vous en 2026 ?
L'accélération rapide du cycle de vie des attaques, alimentée par l'IA autonome, constituera un défi majeur en 2026. De l'exploitation automatisée des vulnérabilités au développement de logiciels malveillants pilotés par l'IA, l'IA améliore la précision et l'efficacité des attaques.
Des études ont montré que le temps nécessaire aux abus propulsés par l'IA pour atteindre leur but a été considérablement réduit. En 2026, une violation des données typique aura un impact en seulement quelques heures, au lieu de plusieurs semaines. Ce problème est particulièrement préoccupant dans la région Asie-Pacifique (APAC), où les entreprises s'appuient souvent sur la défense périmétrique traditionnelle et sur une réponse centrée sur l'humain. Les entreprises qui ne disposent pas d'opérations de sécurité matures et d'une connaissance de l'IA suffisante seront fortement désavantagées.
En 2026, les API dépasseront tous les autres vecteurs d'attaque et deviendront la principale source de violations de données au niveau de la couche applicative, représentant potentiellement plus de la moitié des attaques ciblant les applications dans la région APAC. Plus de 80 % des entreprises de la région APAC ont révélé avoir été victimes d'au moins un incident de sécurité lié aux API au cours de l'année passée.
Autre fait alarmant : près des deux tiers des entreprises de la région APAC ne savent pas quelles API traitent les données sensibles. Cela souligne le besoin d'améliorer la visibilité et la gouvernance des inventaires d'API.
L'adoption du « vibe-coding », ou codage assisté par l'IA, qui consiste à utiliser l'IA générative pour créer des API, ne fera qu'aggraver la situation. Le codage assisté par l'IA a été associé à une augmentation des erreurs de configuration, des paramètres par défaut non sécurisés et des vulnérabilités négligées. Pour contrôler les risques, les entreprises ont besoin d'outils de sécurité spécialisés visant à détecter, tester et protéger les API tout au long de leur cycle de vie.
Les ransomwares vont se généraliser en 2026, grâce au RaaS et au « vibe-hacking », ou piratage basé sur l'IA. Attendez-vous à une augmentation de la fréquence et de la vitesse des attaques. Les frontières entre cybercriminels, hacktivistes et opérateurs affiliés à des États deviennent floues, rendant l'identification des motivations et des auteurs d'attaque beaucoup plus complexe.
Dans la région APAC, le domaine de la fabrication des hautes technologies deviendra sûrement une cible privilégiée. Une attaque par ransomware contre les usines de fabrication de semi-conducteurs pourrait perturber l'approvisionnement mondial en puces et entraîner d'énormes répercussions économiques. Avec la démocratisation des outils d'attaque avancés, les entreprises ne doivent pas seulement se concentrer sur la prévention des violations, mais vite renforcer leur résilience opérationnelle.
Qu'est-ce qui a marqué selon vous l'année 2025 ?
Cette année, les rapports État des lieux d'Internet ont fourni un guide pour les gardiens de la sécurité Internet ainsi que les informations les plus récentes sur les applications, les API, les ransomwares, les attaques DDoS et les tendances en matière de fraude et d'abus. Ces rapports ont révélé deux schémas clairs.
Premièrement, les bots continuent d'innover et seront aussi persistants que les attaques DDoS.
Deuxièmement, les cybercriminels continuent de suivre les données critiques pour monétiser leurs attaques et concentrent leurs attaques sur les API, tandis que l'IA générative et les LLM deviennent la nouvelle zone à cibler.
Les statistiques confirment ces deux tendances. Par exemple, le trafic des bots d'IA a augmenté de 300 % depuis juillet 2024, nous avons constaté une croissance de 94 % des attaques DDoS trimestrielles de la couche applicative (couche 7), et 47 % des équipes de protection des applications maintiennent des inventaires d'API complets, mais ne parviennent pas à identifier les API qui traitent des données sensibles.
J'aimerais également évoquer certains des cadres qui ont été étudiés dans les rapports État des lieux d'Internet. Voici les ressources qui m'ont marqué :
Les informations tirées du rapprochement des alertes d'attaque réelles avec différents référentiels, qui ont révélé les tendances réelles des attaques selon les normes du secteur (exemples : OWASP 32 %, MITRE 30 %, ISO 22 %, RGPD 21 %, PCI DSS 16 %)
Un processus d'intégration de la conformité qui présente les six étapes à suivre pour établir un programme pluridisciplinaire unifié
Des conseils sur la façon d'aligner votre programme de fraude sur les 10 principales vulnérabilités identifiées par l'OWASP pour vous aider à déterminer les problèmes à résoudre en priorité
Pour tirer pleinement parti de ces éclairages, il est essentiel d'avoir une bonne perception de la situation afin de comprendre ce qui se passe. Nous devons également collaborer avec un fournisseur dont la plateforme intègre la capacité d'adapter vos mesures d'atténuation en fonction du niveau de tolérance au risque de votre direction. Ensuite, nous devons valider notre processus et nos contrôles techniques par le biais d'exercices et de tests.
Enfin, il convient de tenir compte de l'écosystème criminel où les attaques étatiques liées aux conflits régionaux, les capacités de bots monétisés et RaaS, ainsi que les outils de fraude basés sur l'IA tels que FraudGPT et WormGPT, redéfinissent l'écosystème actuel des cybermenaces.
Quels problèmes notables prévoyez-vous en 2026 ?
À l'approche de l'année 2026, nous constatons que la plupart des entreprises doivent mettre à jour leur portefeuille de gestion des cyberrisques pour s'assurer qu'elles sont capables de s'adapter aux dernières tendances, telles que la hausse récente de l'activité d'extraction, la nécessité de protéger la marque et les nouveaux records d'attaque DDoS. Mais le véritable défi est de mettre en place des mesures pour atténuer deux menaces clés : les attaques en bordure de l'Internet et les interruptions de l'activité.
Les capacités d'API et d'IA générative sont en plein essor et les entreprises doivent veiller à ce qu'elles soient sécurisées. Elles doivent également pouvoir détecter et segmenter les attaques par ransomware afin d'éviter tout impact matériel.
Que ce soit en termes d'échelle ou de complexité, les cybermenaces s'intensifient grâce à l'innovation de l'IA dans tous les secteurs et dans toutes les régions. L'objectif pour 2026 est clair : renforcer la résilience grâce à des plans d'action éprouvés, tirer parti des cadres (OWASP, MITRE, ISO, etc.) et réaliser des exercices de validation qui transforment la perception de la situation en préparation concrète et mesurable.
Qu'est-ce qui a marqué selon vous l'année 2025 ?
L'année 2025 m'a encore prouvé que plus les menaces sont complexes, plus les bases sont importantes. Imaginez que vous achetez une maison à 5 millions de dollars, pour découvrir ensuite que ses fondations sont défectueuses. Vous seriez plutôt contrarié, non ? Imaginez combien vous devriez encore débourser pour réparer les fondations après avoir déménagé.
La sécurité obéit à la même règle : il vous faut des bases solides pour vous protéger. Certaines des plus grandes violations recensées provenaient de simples cas d'hameçonnage ou d'absence d'authentification multifactorielle (MFA). Les bases comptent. Vous devez absolument résoudre vos vulnérabilités !
Depuis toujours, les attaquants réutilisent des tactiques valides et établies à des fins criminelles, mais même cette approche évolue. De façon inquiétante, nous observons de plus en plus l'abus de processus et/ou de fonctionnalités légitimes et conçus pour aider. La nouvelle variante du logiciel malveillant Coyote en est un excellent exemple. Il s'agit du premier cas confirmé d'utilisation malintentionnée de l'infrastructure UI Automation (UIA) de Microsoft en conditions réelles, en exploitant les fonctions d'accessibilité.
Autre exemple : l'abus de la conformité et de la connaissance des ramifications juridiques pour garantir un versement dans le cadre d'une rançon. Cela fonctionne parce que cette méthode est ingénieuse, mais elle est surtout effrayante et vaut la peine d'être surveillée.
Enfin, l'IA et les LLM ont eu un impact indéniable cette année, notamment dans les attaques axées sur l'abus de logique métier. Plus les attaquants ont recours à l'IA, plus il est important de comprendre les profils et les mécanismes psychologiques qui se cachent derrière les attaques.
Vous ne combattez pas seulement les outils : vous combattez les individus qui conçoivent et emploient ces outils. Les pirates sont aussi des personnes, et les organisations criminelles des entreprises. Comme tout le monde, leur but est d'en faire plus avec moins de ressources. Ainsi, plutôt que de se concentrer uniquement sur les outils eux-mêmes, il est essentiel de se demander pourquoi les attaquants utilisent ces outils et ce qu'ils tentent d'accomplir afin d'assurer une défense efficace. Les LLM et l'IA générative extrapolent le facteur humain, plutôt que de le supprimer.
Quels problèmes notables prévoyez-vous en 2026 ?
Les entreprises doivent être toujours prêtes à faire face au pire scénario. Point final. Nous ne nous demandons plus si les attaquants vont réussir à s'infiltrer. Nous savons qu'ils y parviendront. En réalité, ils l'ont probablement déjà fait. La reprise après sinistre doit désormais faire partie intégrante de votre plan de continuité d'activité.
Cela est particulièrement vrai pour une entreprise : lorsqu'un incident se produit, il faut agir vite et coordonner de nombreuses actions en un temps très court. Cela signifie que les organisations doivent briser les barrières techniques et de communication qui séparent les différents services (marketing et relations publiques d'un côté, informatique et sécurité de l'autre) pour garantir une réponse efficace. En outre, plus la communication est fluide entre les équipes, plus vous serez à même d'identifier des vulnérabilités potentielles.
Je pense que les risques liés aux tiers et à la chaîne d'approvisionnement vont prendre une importance capitale en 2026. Avec l'IA et les LLM, le contexte est radicalement différent de tout ce que nous avons connu jusqu'ici. Certains fournisseurs de sécurité pourraient bien utiliser ces modèles GPT sans déclarer que les données de leurs clients leur sont transmises.
En tant que gardien de la sécurité Internet ou RSSI, comment pouvez-vous maîtriser les risques auxquels vous êtes confronté alors même que vous ne savez pas quels sont ces risques ? Il sera essentiel d'évaluer vos fournisseurs (et leurs fournisseurs), de savoir quelles questions poser et de pouvoir mesurer vos risques.
Je prévois également la continuation de l'hacktivisme lié à la situation géopolitique. Aujourd'hui, les personnes sont encore plus animées par des objectifs, sous l'effet des tensions politiques qui règnent dans le monde. Je pense que nous allons assister à une recrudescence d'attaques de type « whale hunting » (c'est-à-dire des attaques par hameçonnage visant les dirigeants de haut niveau) utilisant des outils d'IA. L'agilité de ces outils permet aux pirates de cibler des profils à fort potentiel financier avec autant d'efforts que pour une petite entreprise.
Qu'il s'agisse d'attaques financières, purement perturbatrices ou de toute autre nature, comprendre la motivation des attaquants aidera les organisations à mieux orienter leurs stratégies de défense.
L'apprentissage comme engagement
Nous espérons que cette Année passée au crible 2025 vous a fourni des informations pertinentes et des éclairages utiles. En 2026, nous continuerons d'explorer le monde de la cybersécurité et de couvrir les aspects qui comptent vraiment pour vous. Nous avons hâte d'apporter de nouvelles perspectives tout en restant pertinents, que vous soyez confronté à des menaces mondiales ou à des enjeux régionaux.
En savoir plus
Pour en savoir plus sur les événements de l'année passée, accédez à la page Security Intelligence Research d'Akamai pour consulter nos rapports État des lieux d'Internet et à notre bibliothèque de recherche.
Rendez-vous en 2026 !
Balises
